Attività di consulenza per l’applicazione del GDPR 679/2016, Regolamento Europeo in materia di Protezione dei dati personali.
L’attività di consulenza si sviluppa in due fasi:
FASE 1. Audit Privacy e Vulnerability Assessment. E’ una indagine, rivolta a tutte le aree dell’organizzazione, sullo stato di conformità al GDPR, che include anche la verifica dei sistemi informatici e di sicurezza. La GAP Analysis permetterà all’organizzazione di:
- Mappare e classificare i dati trattati (generici, particolari, giudiziari)
- Identificare gli asset (Applicazioni, Database, Archivi che contengono dati personali)
- Individuare i soggetti che hanno accesso, diretto o indiretto, alle informazioni oggetto del trattamento (dipendenti, collaboratori, fornitori), ed i membri del sistema privacy (Responsabili del trattamento, Responsabile della Protezione dei Dati; responsabili esterni (terze parti), incaricati al trattamento…)
- Identificare i trattamenti potenzialmente soggetti a PIA (Privacy Impact assessment);
- Censire le misure di sicurezza adottate per la riduzione il rischio di perdita o violazione dei dati (videosorveglianza, sicurezza fisica, sicurezza organizzativa)
- Identificare, mediante l’utilizzo di sistemi automatizzati, tutte le vulnerabilità potenziali dei sistemi e delle applicazioni informatiche.
- Verificare la conformità al GDPR del sito web aziendale e degli eventuali plug-in e profili social utilizzati per la comunicazione;
- Le informazioni raccolte in fase di audit serviranno a definire le azioni da attuare per l’adeguamento e la piena conformità al GDPR.
FASE 2. Implementazione del Sistema Privacy. E’ la fase di pianificazione ed implementazione del Sistema Privacy, personalizzato sulla base della complessità aziendale e della tipologia di dati trattati, che genera i seguenti risultati:
- Risk Management per la valutazione dei rischi relativi ad ogni Asset (database o applicazione);
- Verifica dell’operato dell’Amministrazione di Sistema, del mantenimento dei backup e delle simulazioni di restore, del piano di disaster recovery e delle politiche di business continuity, verifica delle misure di sicurezza volte a garantire riservatezza, disponibilità ed integrità dei dati trattati; reportistica degli Audit e pianificazione delle azioni correttive e di miglioramento;
- Pianificazione ed applicazione delle misure di sicurezza (contenimento, eliminazione, ripartizione del rischio) suggerite dal risk assessment;
- Predisposizione del registro trattamenti e del registro dei data breach;
- Nomine relative al trattamento dei dati: Responsabili del trattamento, Responsabili per la protezione dei dati, Coordinatori, Incaricati;
- Elaborazione delle informative e consensi di tutti i trattamenti e per tutte le tipologie di interessati (clienti, dipendenti, fornitori, terzi). Documenti Web: Informativa, Cookie Law;
- Privacy Impact Assessment (DPIA) dei trattamenti con un rischio elevato per le libertà e i diritti degli interessati.
- Procedure per la gestione del sistema Privacy (Diritti Interessati, Privacy by Design/ Default, Data Breach, Nomina ed Interruzione incaricati/responsabili, Assunzione nuovo dipendente. Licenziamento o fine rapporto; Misure minime ADS – gestione macchina utente; Gestione della sicurezza della Rete Locale; Dismissione fisica di una macchina; Dismissione logica di una macchina; Backup; Conservazione delle copie logiche e cartacee; Disaster Recovery e Business Continuity; Gestione delle credenziali di accesso: evidenze di consegna; Backup log dei sistemi interni e/o esterni all’organizzazione).
- Gestione dei privilegi di accesso ai sistemi aziendali, dei componenti del sistema privacy.
- Policy per il trattamento dei dati e codici di condotta per utilizzo di Internet e della Posta elettronica rivolti a: dipendenti; fornitori (terze parti); collaboratori dell’organizzazione.
- Formazione del personale addetto al trattamento dei dati.
- Programmazione e realizzazione di Audit periodici per la verifica del rispetto della disciplina vigente e per possibili azioni di miglioramento
AttivaSolution 